La plateforme de partage de code s’est fait une petite frayeur en matière de sécurité. GitHub vient en effet d’annoncer dans un blog avoir changé sa clé SSH RSA en raison d’une erreur l'exposant au public. « Vers 05:00 UTC le 24 mars, par excès de prudence, nous avons remplacé notre clé hôte RSA SSH utilisée pour sécuriser les opérations Git pour GitHub.com », explique l’éditeur. Et d’ajouter, « nous avons fait cela pour protéger nos utilisateurs contre toute possibilité qu'un adversaire se fasse passer pour GitHub ou écoute leurs opérations Git via SSH ».
Que s’est-il passé ? « Cette semaine, nous avons découvert que la clé privée RSA SSH de GitHub.com avait été brièvement exposée dans un dépôt public de GitHub ». La firme prend les devants sur des interrogations concernant l’origine de cette exposition. « Veuillez noter que ce problème n'est pas le résultat d'une compromission des systèmes de GitHub ou des informations des clients. L'exposition est plutôt la conséquence de ce que nous pensons être une publication involontaire d'informations privées ».
Ce changement de clé n’est pas sans poser quelques perturbations pour les utilisateurs. Les premiers symptômes sont un message d’avertissement alarmant (voir la capture ci-dessous). GitHub précise dans son blog que « ce changement n'a d'impact que sur les opérations Git via SSH en utilisant RSA. Le trafic web vers GitHub.com et les opérations Git HTTPS ne sont pas affectés ». Il complète en soulignant que « seule la clé SSH RSA de GitHub.com a été remplacée. Aucun changement n'est nécessaire pour les utilisateurs d'ECDSA ou d'Ed25519 ».
Le message d'alerte poussé par GitHub aux utilisateurs concernés par le changement de clé RSA SSH. (Crédit Photo : GitHub)
L'encadré concernant le message d'erreur est faux, il s'agit d'une protection au sein même des librairies ssh qui permet de se prémunir des attaques de type man in the middle, qui pourraient changer l'identification du host ou sa clé publique. Ici, étant donné qu'ils ont changé la paire de clés, la signature du host github.com a été mise à jour en même temps, déclenchant cette alerte.
Signaler un abus